185

Vol. 5 Núm. 11 Suplemento CICA Multidisciplinario

Enero-junio 2021

Artículo de Revisión teórica

INFORMÁTICA FORENSE – EL CAOS DE LA MANIPULACIÓN DE LA

INFORMACIÓN DIGITAL

COMPUTER FORENSICS - THE CHAOS OF DIGITAL INFORMATION

MANIPULATION

COMPUTADORES FORENSES - O CAOS DO MANUSEIO DE

INFORMAÇÕES DIGITAIS

AUTORES

María Soraida Zambrano Quiroz

Autor de correspondencia maria.zambrano@uleam.edu.ec

Universidad Laica Eloy Alfaro de Manabí – Ecuador

Cruz América Tubay Segovia email

: cruzamerica@hotmail.com

Servidor Público Fuerza Aérea Ecuatoriana – Manta Ecuador

María Soraida Zambrano Quiroz Facultad de Ciencias Informáticas – Universidad Laica “Eloy Alfaro” de Manabí Extensión El

Carmen maria.zambrano@uleam.edu.ec

Cruz América Tubay Segovia Servidor público en el Ministerio de Defensa sección Fuerza Aérea Ecuatoriana Manta Ecuador

email cruzamerica@hotmail.com

Jaime Javier Zambrano Quiroz

email: mrjazam@hotmail.com

Servidor Público Gobierno Autónomo Descentralizado Cantón El Carmen

Denny Lourdes Zambrano Quiroz

email: denny.zambrano@uleam.edu.ec

Universidad Laica Eloy Alfaro de Manabí - Ecuador

Recibido: 08/03/2021 Aceptado: 17/05/2021 Publicado: 30/06/2021

RESUMEN

La Informática Forense es una ciencia que estudia y analiza gran cantidad de evidencias de delitos

informáticos; así el forense informático requiere ser profesional con conocimiento técnico y manejo

de herramientas especializadas. En el análisis forense interviene el perito judicial quien obtiene

evidencias forenses y las sustenta, las cuales son amparadas a través de formas y métodos. Muestra

el alcance mediante el análisis forense, la recolección de evidencias computacionales, que

información analizar y quiénes intervienen durante un proceso judicial, y lo que sugiere la IOCE

(International Organization On Computer Evidence) como principios para el manejo y recolección

de evidencia computacional. Dentro de sus acápites detalla que es la ciencia Forense, los

dispositivos a analizar, conservar información, verificar los involucrados y bajo qué principios

informáticos y legales. El propósito de esta investigación es destacar a la Informática Forense y

detallar el proceso a seguir hasta llegar a un juicio. Se expone la subclasificación de las

herramientas disponibles: de recolección, de monitoreo, de marcado de documento y las Encase;

que indica la forma estudio de la información que haya sido manipulada; mediante estas

Jaime Javier Zambrano Quiroz Funcionario Público GAD cantón El Carmen mrjazam@hotmail.com

Denny Lourdes Zambrano Quiroz Facultad de Derecho – Universidad Laica “Eloy Alfaro” denny.zambrano@uleam.edu.ec

187

alternativas se guía la utilización según lo que se desee manipular en función de un proceso

judicial. La información que se investigó se obtuvo de un paradigma cualitativo de tipo descriptivo

y con una estrategia documental. Se proyecta a la Informática Forense como un desafío

interdisciplinario como apoyo a la administración de la justicia y como pauta para esclarecer

fraudes cometidos en las organizaciones.

PALABRAS CLAVES: Informática forense, delito informático, perito informático, seguridad

informática, herramientas tecnológicas.

SUMMARY

Computer Forensics is a science that studies and analyzes a large amount of evidence of computer

crimes; thus, the computer forensic needs to be a professional with technical knowledge and use of

specialized tools. The forensic analysis involves the judicial expert who obtains and supports

forensic evidence, which is protected through forms and methods. It shows the scope through

forensic analysis, the collection of computational evidence, what information to analyze and who

intervenes during a judicial process, and what the IOCE (International Organization On Computer

Evidence) suggests as principles for the management and collection of computational evidence. It

details what is Forensic science, the devices to analyze, preserve information, verify those involved

and under what computer and legal principles. The purpose of this investigation is to highlight

Computer Forensics and detail the process to follow until reaching a legal trial through an expert

and forensic analysis. The sub-classification of the available tools is exposed: collection,

monitoring, document marking and Encase; that indicates the study form of the information that

has been manipulated; Through these tools, the use is guided according to what the information is

going to be manipulated for a judicial process. The information that was investigated was obtained

from a qualitative descriptive paradigm and with a documentary strategy. Forensic Informatics is

projected as an interdisciplinary challenge to support the administration of justice and as a guideline

to clarify fraud committed in organizations.

KEYWORDS: Forensic informatics, computer crime, computer expert, computer security,

technological tools.

RESUMO

Computer Forensics é uma ciência que estuda e analisa uma grande quantidade de evidências de

crimes de computador; assim, o computador forense precisa ser um profissional com conhecimento

técnico e uso de ferramentas especializadas. A perícia pericial envolve o perito judicial que obtém

e sustenta as provas periciais, as quais são protegidas por meio de formulários e métodos. Mostra

o escopo por meio da análise forense, a coleta de evidências computacionais, quais informações

analisar e quem intervém durante um processo judicial, e o que a IOCE (International Organization

On Computer Evidence) sugere como princípios para o gerenciamento e coleta de evidências

computacionais. Em suas seções detalha o que é Ciência Forense, os dispositivos para analisar,

manter informações, verificar os envolvidos e sob que informática e princípios jurídicos. O objetivo

desta investigação é destacar a Computação Forense e detalhar o processo a seguir até que um

julgamento seja alcançado. A subclassificação das ferramentas disponíveis é exposta: coleta,

monitoramento, marcação de documentos e Encase; que indica a forma de estudo das informações

manipuladas; Por meio dessas alternativas, o uso é orientado de acordo com o que se deseja

manipular a partir de um processo judicial. As informações investigadas foram obtidas a partir de

um paradigma descritivo qualitativo e com uma estratégia documental. A Informática Forense é

projetada como um desafio interdisciplinar para apoiar a administração da justiça e como uma

diretriz para esclarecer as fraudes cometidas nas organizações.

189

PALAVRAS-CHAVE: Computação forense, crime informático, especialista em informática,

segurança informática, ferramentas tecnológicas

INTRODUCCIÓN

La información ha constituido lo más valioso que poseen todas las empresas; desde años atrás a

medida que la tecnología avanzó, la información se multiplicó; situación que ha llevado a las

empresas a ponerla como prioridad y velar por ella mediante cualquier dispositivo de

almacenamiento; no siendo suficiente en la actualidad, en vista que existen ataques informáticos,

violación de información, sustracción, alteración, en fin un sinnúmero de delitos informáticos que

ha conllevado a seguir procesos legales para indagar quiénes o quién están involucrados en todos

estos métodos maliciosos; e allí la aplicación de la Informática Forense.

Se la ha considerado como una herramienta muy valiosa, ante la necesidad de contar con un

método que facilite la obtención de pruebas digitales en los casos donde se cometan fraudes o

crímenes que atenten contra los usuarios de la información, sobre todo en tiempos donde el uso de

la Internet se ha expandido por todo el mundo, y donde día a día más negocios tradicionales pasan

a formar parte de la gran red de redes a nivel mundial. La informática forense posee un enfoque

científico, basándose en una serie de alternativas electromagnéticas, con el objetivo de recolectar,

analizar, verificar y validar todo tipo de información, sea esta existente, o información borrada de

la computadora, para beneficio de quienes reportan ataques mal intencionados a sus sistemas

informáticos y bases de datos.

La informática forense es considerada una ciencia, de reciente aparición, que se ha encargado de

asegurar, identificar, preservar, analizar y presentar un conjunto de datos, también llamados, prueba

digital, de tal modo que ésta pueda llegar a ser aceptada en un proceso legal y/o judicial. Más

concretamente, esta ciencia y su conjunto de herramientas y técnicas permiten o facilitan, en la

medida de lo posible, una reconstrucción del equipo informático afectado, el examen de los datos

que se han podido recabar, la autenticación de los mismos, entre muchos otros menesteres (Rivas,

2014). El perito informático forense no podrá trasladar el equipamiento que contiene la información

de análisis, por lo tanto, en el lugar del hecho, efectuar la duplicación de la información contenida

en un repositorio original. Esta tarea se deberá realizar de manera tal que la duplicación o copia

generada preserve la validez de su contenido original (Darahugue y Arellano, 2016).

Una característica positiva de los resultados del análisis comparativo del software forense digital

publicado en la literatura científica es la exhaustividad y la base científica, mientras que un aspecto

negativo es que a menudo no están actualizados debido al desarrollo de nuevas versiones de

software (Stanivukovic, D., & Randjelovic, D., 2016). El sujeto pasivo analizado no se resume tan

sólo a un equipo informático entendiendo como tal un ordenador, por ejemplo, si no que es mucho

más amplio. Se puede tratar de redes completas de equipos, ya sean cableados o inalámbricas. Los

sistemas embebidos en otros más grandes, como por ejemplo pequeños equipos de control en

sistemas de seguridad, equipos industriales, automóviles o incluso electrodomésticos.

Actualmente, debido al auge de los sistemas de información que se pueden encontrar en cualquier

sitio y su interés estratégico, la informática forense se puede aplicar al instante anterior al del fin

criminal. Se puede utilizar la informática forense con finalidades de prevención, es decir, analizar

un conjunto de equipos para separar a qué riesgos potenciales están expuestos y mitigar así un

posible ataque o incidente informático.

En el campo de la Informática Forense existen etapas que definen la metodología a seguir en una

investigación: identificación, preservación o adquisición, análisis y presentación de los resultados.

191

Siguiendo el flujo lógico de actividades, primero se debe identificar las fuentes de datos a analizar

y aquello que se desea encontrar, luego se debe obtener las imágenes forenses de los discos o

fuentes de información, posteriormente se realiza el análisis de lo recopilado para extraer

información valiosa y finalmente se ordenan los resultados del análisis y se presentan, de tal modo

que resulten útiles.

Para las fases anteriormente expuestas, es compensatorio las herramientas que ayudan en la

Informática Forense; las mismas que son diversas y para cada área en especial: para recolectar

información, para control de información, de evidencias y Encase. Todas ellas ayudan en el proceso

que se evalúa en la Informática Forense y se obtienen resultados de tal forma que no se daña la

información, ésta solo es supervisada e investigada para dar con el responsable del delito

informático.

De esta forma se expuso lo que es la Informática Forense en sus diversas etapas, sus conceptos, sus

beneficios, sus herramientas y forma de aplicarlas. Demostrando así que es posible investigar y dar

con él o la persona que violentó la información de la empresa a través de cualquier medio

informático especializado.

Este trabajo de investigación presenta un enfoque explicativo, que permite realizar un estudio

teórico, que sirva de guía y acceda estudiar teorías que puedan ser probadas científicamente. El

tipo de investigación que se usó es la descriptiva; que explica una situación o caso bajo un estudio

y análisis de investigación. La recolección documental fue obtenida de fuentes bibliográfica y

electrónicas, que han concedido obtener datos valiosos que contribuyen a conocer e interpretar lo

que es la informática forense. Se estipula criterios científicos sobre lo que es la informática forense,

perito judicial; en la segunda parte análisis forense, objetivos y dispositivos que es posible analizar

y en la tercera sección las herramientas que sirven de apoyo en este proceso judicial de la

Informática Forense. “La Informática Forense presenta alternativas efectivas para la

identificación de caos de la manipulación de la información digital”, como a continuación se

presentará un análisis completo, se espera disponer del fundamento teórico suficiente para poder

esclarecer si la manipulación digital puede ser identificada o no por la Informática Forense.

MATERIALES Y MÉTODOS

Se utilizó la revisión literaria que permitió obtener resultados bibliográficos científicos relevantes,

los cuales contribuyeron a seleccionar información destacada y que generó aporte científico para

conocimiento y aplicación profesional sobre la Informática Forense.

La metodología empleada pertenece a (Sampieri, 2014) ,según el autor Hernández Sampieri la

metodología cualitativa utiliza la recolección y análisis de los datos para afinar las preguntas de

investigación o revelar nuevas interrogantes en el proceso de interpretación. Se recopiló

información no numérica, que señaló aspectos relevantes y primordiales que generan análisis y

toma de decisiones frente a un caso de Informática Forense; aportando criterios científicos que

permitan continuar ampliando esta área de la Informática.

La investigación documental es un proceso basado en la búsqueda, recuperación, análisis, crítica e

interpretación de datos secundarios, es decir, los obtenidos y registrados por otros investigadores

en fuentes documentales: impresas, audiovisuales o electrónicas. Como en toda investigación, el

propósito de este diseño es el aporte de nuevos conocimientos. (Arias, 2012). La documentación

permitió ordenar ideas, clasificar criterios y resaltar herramientas informáticas útiles que conllevan

a la toma de decisiones frente a los diferentes casos de delitos informáticos que se pudieran

presentar.

193

Como instrumento de investigación se adjuntó documentos de archivos, en donde se encuentra

información sobre lo que contiene la informática forense. Considerando que tal información, se

demostró un grado de confianza, para aportar lo que es desenvolverse en la Informática Forense y

sus diversas aplicaciones. Considerando tales interpretaciones científicas la documentación

obtenida fue recopilada de repositorios digitales, clasificados tanto de libros y artículos

relacionados con el tema. Estos resaltan lo que es la Informática Forense en sus diferentes

perspectivas o criterios de interpretación, así como los diferentes procesos y herramientas

existentes que son útiles en el estudio de algún delito informático cometido.

Se expone los diferentes criterios y posibles soluciones legales a seguir hasta llegar a un juicio si

así lo requiera el delito informático cometido. Todo esto generó a reunir criterios científicos con

sus diferentes aportes analíticos, que conllevaron a presentar la información que se destaca en el

desarrollo de este artículo.

Desarrollo

Informática Forense

La informática forense está siendo considerada como una herramienta muy valiosa ante la

necesidad de contar con algún método que facilite la obtención de pruebas digitales en los casos

donde se cometan fraudes o crímenes que atenten contra los usuarios de la información, máxime

en tiempos donde el uso de la Internet se ha expandido por todo el mundo, y donde día a día más

negocios tradicionales pasan a formar parte de la gran red de redes a nivel mundial.

(RODRÍGUEZ).

Es la aplicación de técnicas científicas y analíticas especializadas a infraestructuras tecnológicas

que permiten realizar los procesos de preservación, colección, análisis y presentación de evidencia

digital, de acuerdo a procedimientos técnico-legales preestablecidos, como apoyo a la

administración de justicia en la resolución de un caso legal. Por lo tanto, cuando se sufre un delito

tecnológico es necesario neutralizarlo, saber cómo se ha perpetrado la vulnerabilidad, el alcance

realizado y prevenir futuros ataques mediante el uso de técnicas, programas y herramientas forenses

que determinen de manera infalible la evidencia legal. Su misión es auxiliar a los abogados, fiscales

y jueces a identificar, preservar y analizar datos almacenados en medios magnéticos y transacciones

electrónicas en un litigio judicial o extrajudicial. (Ariza, A., J. Cano, J. Ruíz, 2009). Es la respuesta

a vulneraciones en el uso que empleados y extraños hacen de tus sistemas de información. (Alto

Nivel, 2010).

Todo delito informático es penado bajo ley. La información respaldada mediante seguridad no debe

ser violentada; sin embargo, pasan los años ésta se vuelve más susceptible a tal punto de que es

forzada, robada, alterada y manipulada, es de ahí donde surge la Informática Forense que viene a

constituirse un amparo para que quienes violenten la información sean procesados legalmente a

través de procesos de Informática Forense.

¿Qué es el análisis Forense?

El análisis forense en un sistema informático es una ciencia moderna que permite reconstruir lo

que ha sucedido en un sistema tras un incidente de seguridad. Este análisis puede determinar quién,

desde dónde, cómo, cuándo y qué acciones ha llevado a cabo un intruso en los sistemas afectados

por un incidente de seguridad. (Helena Rifà Pous, Jordi Serra Ruiz, José Luis Rivas López , 2009).

195

El análisis forense informático se deriva del peritaje y cabe recalcar que son dos conceptos

diferentes. Mediante el peritaje se buscan evidencias, pruebas y se efectúa en base a

procedimientos técnicos y científicos que conforman el análisis informático. En la seguridad

informática es importante tener en cuenta que la posibilidad de ver ciertos datos no significa

necesariamente que esta exista en verdad; de acuerdo con esto, se puede asegurar que toda

información puede provenir de muchos otros sitios (Hidalgo Cajo, 2014). El Análisis Forense

Digital es un campo de investigación excitante y dinámico que tiene cada vez más un poderoso

impacto en una variedad de situaciones, incluyendo ambientes corporativos, investigaciones

internas, litigación civil, investigaciones criminales, investigaciones de inteligencia, e incluso

asuntos de seguridad nacional. (Ariza, A., J. Cano, J. Ruíz, 2009). El Análisis Forense es utilizado

para obtener detalles del robo de información a través me procedimientos técnicos y científicos.

Todo esto se involucra en todas las áreas de un País donde se haya cometido delito informático.

Perito Judicial o Perito Forense

Es el profesional dotado de conocimientos especializados y reconocidos a través de sus estudios

que suministra información u opinión con fundamentos a los tribunales de justicia, sobre cuestiones

relacionadas con sus conocimientos en caso de ser requeridos como expertos. (Sánchez Cordero,

2014). Un perito judicial es un profesional con conocimientos profundos y reconocidos

oficialmente en una materia y que, en virtud de ellos, suministra información al juez, a los

magistrados, a los fiscales y a los abogados sobre los puntos en litigio que son materia de los juicios

que se desarrollan ( (Perito Judiciales, s.f.)

Cuáles son los objetivos de la informática forense

Prevenir, lo que permite a empresas y profesionales a auditar gracias a diferentes pruebas técnicas,

que los mecanismos de protección que haya instalados en los equipos informáticos y también sobre

las condiciones y estrategias de seguridad con las que cuenta la empresa. Detectar las posibles

vulnerabilidades de seguridad que pueda haber en los equipos informáticos con el objetivo de

corregirlas en caso de ser detectadas. Un experto en este campo podrá redactar las pautas acerca

del uso de los sistemas informáticos para poder mantener la máxima seguridad en cada uno de sus

equipos y evitar que pueda haber cualquier compromiso que pueda dejar expuestos datos o

cualquier otra información de valor.

En caso de que la seguridad de la empresa haya sufrido una brecha, un informático forense tiene

otra misión, la de recopilar toda la información y evidencias necesarias para poder averiguar cuál

es el origen del ataque o qué ha podido pasar para que se haya producido este suceso. Para poder

llevar a cabo esto, una empresa debe contar o con un equipo multidisciplinar de profesionales

encargados de diferentes áreas o un experto informático especializado en informática forense,

quien estará al tanto de las últimas tendencias de su sector. (OnRetrieval, 2018)

Según (Isabel), plantea los siguientes objetivos para la Informática Forense:

Finalidad preventiva, en primer término. Como medida preventiva sirve a las empresas para

auditar, mediante la práctica de diversas pruebas técnicas, que los mecanismos de protección

instalados y las condiciones de seguridad aplicadas a los sistemas de información son suficientes.

Asimismo, permite detectar las vulnerabilidades de seguridad con el fin de corregirlas. Cuestión

que pasa por redactar y elaborar las oportunas políticas sobre uso de los sistemas de información

facilitados a los empleados para no atentar contra el derecho a la intimidad de esas personas. Por

otro lado, cuando la seguridad de la empresa ya ha sido vulnerada, la informática forense permite

recoger rastros probatorios para averiguar, siguiendo las evidencias electrónicas, el origen del

ataque (si es una vulneración externa de la seguridad) o las posibles alteraciones, manipulaciones,

197

fugas o destrucciones de datos a nivel interno de la empresa para determinar las actividades

realizadas desde uno o varios equipos concretos.

¿Qué finalidad busca la informática forense?

Básicamente la importancia de la informática forense radica en identificar y determinar los

perjuicios generados por el ataque(s) al que ha sido víctima una organización en particular. El poder

cuantificar el nivel de daño recibido, e incluso, identificando a los responsables del crimen, se

puede elevar la situación ante las autoridades respectivas como se mencionó anteriormente, con el

fin de buscar justicia y que los responsables tengan su pena correspondiente al delito cometido.

Posteriormente, y aprovechando la experiencia acumulada en ataques recibidos, es posible generar

información que sirva como un historial para tomar acciones preventivas en un futuro. Al utilizar

la informática forense es posible investigar (incluso cuando Internet permite el anonimato y el uso

de nombres falsos) quién es el dueño de algún sitio Web, quiénes son los autores de determinados

artículos y otros documentos enviados a través de alguna red o publicados en la misma. El rastreo

que se realiza trata de indagar quién es y cómo es que realizó el ataque o cualquier otra acción

ilícita. Además, es posible buscar atacantes externos de sistemas e inclusive casos donde se ha

determinado el contagio de virus.

Son igualmente investigables las modificaciones, alteraciones y otros manejos dolosos de bases de

datos de redes internas o externas. Por supuesto, para realizar esta tarea se debe poseer un

conocimiento sólido, por lo cual, normalmente quienes hacen de Informáticos forenses han

realizado ataques anteriormente o conocen el uso de herramientas, dispositivos y software de

incursión en redes, por lo que tienen una idea de las posibles intrusiones por parte de terceros en

un sistema.

La destrucción de datos y la manipulación de los mismos también pueden rastrearse. Los hábitos

de los usuarios de los computadores y las actividades realizadas pueden ayudar a la reconstrucción

de hechos, siendo posible saber de todas las actividades realizadas en un computador determinado.

El objetivo de un análisis forense informático es realizar un proceso de búsqueda detallada y

minuciosa para reconstruir a través de todos los medios el log(registro) de acontecimientos que

tuvieron lugar desde el mismo instante cuando el sistema estuvo en su estado integro hasta el

momento de detección de un estado comprometedor. Recordemos que los archivos informáticos

pueden guardar información sobre su autor, la compañía, fecha, hora, entre otros datos que en el

caso jurídico son de gran interés. Esta información resulta desconocida para una gran mayoría de

usuarios, lo que permite determinar en algunos casos.

Dónde encontrar evidencia informática.

Confiscar artículos que se detallan en la orden de cateo.

Computadoras, laptops, equipo de red (conectores e interruptores).o

Periféricos: CDR, DVD-R, cámaras digitales, PDA.

Medios externos: CD, diskettes, memorias USB.

Notas en papel, documentos y manuales, notas autoadheribles.

Antes de moverlo, documente el equipo y los periféricos.

Fotografías digitales, diagramas

La IOCE (International Organization On Computer Evidence) define los siguientes cinco puntos

como los principios para el manejo y recolección de evidencia computacional:

1. Sobre recolectar evidencia digital, las acciones tomadas no deben cambiar por ningún motivo

esta evidencia.

199

2. Cuando es necesario que una persona tenga acceso a evidencia digital original, esa persona debe

ser un profesional forense.

3. Toda la actividad referente a la recolección, el acceso, almacenamiento o a la transferencia de la

evidencia digital, debe ser documentada completamente, preservada y disponible para la revisión.

4. Un individuo es responsable de todas las acciones tomadas con respecto a la evidencia digital

mientras que ésta esté en su posesión.

5. Cualquier agencia que sea responsable de recolectar, tener acceso, almacenar o transferir

evidencia digital es responsable de cumplir con estos principios.

DISPOSITIVOS A ANALIZAR EN EL CF

La infraestructura informática a ser analizada es toda aquella que tenga una memoria (informática),

por lo que se pueden considerar los siguientes dispositivos( (Análisis documental del Cómputo

Forense y su situación en México):

Disco duro de una Computadora o Servidor ----- Documentación referida del caso

Logs de seguridad ----- Información de Firewalls

IP, redes ----- Software de monitoreo y seguridad

Credenciales de autentificación ----- Trazo de paquetes de red

Teléfono Móvil o Celular ----- Agendas Electrónicas (PDA)

Dispositivos de GPS ----- Impresora

Memoria USB ----- Discusión de resultados

El cómputo forense lleva a cabo una serie de etapas para recabar la o las evidencias que permitan

esclarecer algún hecho, son identificación, preservación, análisis y presentación se detallan de la

siguiente manera (CANO, Estado del arte del peritaje Informático, 2009):

a. Identificación: Es muy importante conocer los antecedentes, situación actual y el proceso que

se quiere seguir para poder tomar la mejor decisión con respecto a las búsquedas y la estrategia

de investigación. Incluye muchas veces la identificación del bien informático, su uso dentro de

la red, el inicio de la cadena de custodia (proceso que verifica la integridad y manejo adecuado

de la evidencia), la revisión del entorno legal que protege el bien y del apoyo para la toma de

decisión con respecto al siguiente paso una vez revisados los resultados.

b. Preservación: Este paso incluye la revisión y generación de las imágenes forenses de la

evidencia electrónica para poder realizar el análisis. Dicha duplicación se realiza utilizando

tecnología de punta para poder mantener la integridad de la evidencia y la cadena de custodia

que se requiere. Al realizar una imagen forense, se refiere al proceso que se requiere para generar

una copia “bit-a-bit” de todo el disco, el cual permite recuperar en el siguiente paso, toda la

Análisis documental del Cómputo Forense y su situación en México Página 26 información

contenida y borrada del disco duro. Para evitar la contaminación del disco duro, normalmente

se ocupan bloqueadores de escritura de hardware, los cuales evitan el contacto de lectura con el

disco, lo que provocaría una alteración no deseada en los medios.

c. Análisis: Proceso de aplicar técnicas científicas y analíticas a los medios duplicados por medio

del proceso forense para poder encontrar pruebas de ciertas conductas. Se pueden realizar

búsquedas de cadenas de caracteres, acciones específicas del o de los usuarios de la máquina

como son el uso de dispositivos de USB (marca, modelo), búsqueda de archivos específicos,

recuperación e identificación de correos electrónicos, recuperación de los últimos sitios

visitados, recuperación del caché del navegador de Internet, entre otros.

d. Presentación: Es el recopilar toda la información que se obtuvo a partir del análisis para realizar

el reporte y la presentación a los abogados, la generación (si es el caso) de un peritaje y de su

correcta interpretación sin hacer uso de tecnicismos.

201

Herramientas

El Dr. Jeimy (Cano, 2006), menciona que las herramientas que utilizan los peritos forenses en

materia de cómputo para dar con los intrusos y saber a ciencia cierta qué hicieron en el sistema, se

han desarrollado al paso del tiempo para que ayuden en cuestiones de velocidad y faciliten

identificar lo que realmente le pasó al sistema y qué es lo que le puede suceder; por otro lado, se

han desarrollado herramientas bastantes sofisticadas en contra de los análisis forenses

(herramientas y técnicas que intentan no dejar rastros, camuflarlos o borrarlos, de tal manera que

se dificulte una posterior investigación). El personal que labora en la informática forense debe

poseer sólidos conocimientos técnicos y prácticos y conocer las herramientas de uso, estar al día

en bugs (vulnerabilidades) de sistemas (sistemas operativos, software y hardware).

Clasificación de las herramientas de la Informática Forense

Actualmente existen cientos de herramientas las cuales se pueden clasificar de la siguiente manera

(Información de Tecnología, 2012):

A) Herramientas para la Recolección de Evidencia

Herramientas de recolección de evidencias (López, 2001)

Fig.1: Herramientas de recolección de evidencias.

Fuente: Lopez,2001

Fig.2: Herramientas de recolección de evidencias.

Fuente: Lopez,2001

Herramientas para el Monitoreo y/o Control de Computadoras (López et al., 2001)

Fig.3: Herramientas de Monitoreo

Fuente: Lopez,2001

203

Herramientas de Marcado de documentos

Fig. 4: Herramientas de Monitoreo

Fuente: Lopez,2001

Fig.5: Herramientas de Monitoreo

Fuente: Lopez,2001

Herramienta EnCase

Como caso específico se hace referencia a la herramienta EnCase porque es la más utilizada por

un informático forense durante un análisis forense. El análisis con esta herramienta permite analizar

cualquier dispositivo electrónico como disco duro, memoria de celular, memoria USB, es decir

todo aquello que pueda almacenar información importante para detectar alguna anomalía y así

encontrar una evidencia. La herramienta EnCase es desarrollada por Guidance Software Inc.,

permite asistir al especialista forense durante el análisis de un crimen digital, es una herramienta

de software líder en el mercado, es el producto más ampliamente difundido y de mayor uso en el

campo del análisis forense (Xombra, 2012). Sus principales características son:

Copiado comprimido de discos fuente: EnCase emplea un estándar sin pérdida (loss-less) para

crear copias comprimidas de los discos origen, los archivos comprimidos resultantes pueden ser

analizados, buscados y verificados, de manera semejante a los normales (originales). Esta

característica ahorra cantidades importantes de espacio en el disco de la computadora del

205

laboratorio forense, permitiendo trabajar en una gran diversidad de casos al mismo tiempo,

examinando la evidencia y buscando otra evidencia.

Búsqueda y análisis de múltiples partes de archivos adquiridos: Permite al examinador buscar

y analizar múltiples partes de la evidencia, muchos investigadores involucran una gran cantidad de

discos duros, discos extraíbles, discos “zip” y otros tipos de dispositivos de almacenamiento de la

información con EnCase, el examinador puede buscar todos los datos involucrados en un caso en

un solo paso. La evidencia se clasifica, si está comprimida o no y puede ser colocada en un disco

duro y ser examinada por el especialista. En varios casos la evidencia puede ser ensamblada en un

disco duro grande o un servidor de red.

Diferente capacidad de almacenamiento: Los datos pueden ser colocados en diferentes unidades,

como discos duros IDE o SCSI, drives ZIP y Jazz. Los archivos pertenecientes a la evidencia

pueden ser comprimidos o guardados en CD-ROM manteniendo su integridad forense intacta, estos

archivos pueden ser utilizados directamente desde el CD-ROM evitando costos, recursos y tiempo

de los especialistas.

Varios campos de ordenamiento: EnCase permite al especialista ordenar los archivos de la

evidencia de acuerdo a diferentes campos, incluyendo campos como las tres estampillas de tiempo

(cuándo se creó, último acceso, última escritura), nombres de los archivos, firma de los archivos y

extensiones.

Análisis compuesto del documento: Permite la recuperación de archivos internos y meta-datos

con la opción de montar directorios como un sistema virtual para la visualización de la estructura

de estos directorios y sus archivos, incluyendo el slack interno y los datos del espacio unallocated.

Búsqueda automática y análisis de archivos de tipo zip y attachments de e-mail. firmas de

archivos, identificación y análisis: La mayoría de las gráficas y de los archivos de texto comunes

contienen una pequeña cantidad de bytes en el comienzo del sector los cuales constituyen una firma

del archivo. EnCase verifica esta firma para cada archivo contra una lista de firmas conocida de

extensiones de archivos. Si existe alguna discrepancia, como en el caso de que un sospechoso haya

escondido un archivo o simplemente lo haya renombrado, EnCase detecta automáticamente la

identidad del archivo e incluye en sus resultados un nuevo ítem con la bandera de firma descubierta,

permitiendo al investigador darse cuenta de este detalle.

Análisis electrónico del rastro de intervención: Son sellos de fecha, sellos de hora, registro de

accesos y la actividad de comportamiento reciclado son a menudo puntos críticos de una

investigación por computadora. EnCase proporciona los únicos medios prácticos de recuperar y de

documentar esta información de una manera no invasora y eficiente con la característica de

ordenamiento, el análisis del contenido de archivos y la interfaz de EnCase, virtualmente toda la

información necesitada para un análisis de rastros se puede proporcionar en segundos.

Soporte de múltiples sistemas de archivo: EnCase reconstruye los sistemas de archivos forenses

en DOS, Windows (todas las versiones), Macintosh (MFS, HFS, HFS+), Linux, UNIX (Sun, Open

BSD), CD-ROM, y los sistemas de archivos DVDR. Con EnCase un investigador va a ser capaz

de ver, buscar y ordenar archivos desde estos discos concurridos con otros formatos en la misma

investigación de una manera totalmente limpia y clara. EnCase provee una interfaz tipo Explorador

de Windows y una vista del Disco Duro de origen, también permite ver los archivos borrados y

todos los datos en el espacio (Unallocated). También muestra el Slack File con un color rojo

después de terminar el espacio ocupado por el archivo dentro del cluster, permitiendo al

207

investigador examinar inmediatamente y determinar cuándo el archivo reescrito fue creado. Los

archivos Swap y Print Spooler son mostrados con sus estampillas de datos para ordenar y revisar.

Integración de Reportes: EnCase genera el reporte del proceso de la investigación forense como

un estimado. En este documento realiza un análisis y una búsqueda de resultados, en donde se

muestra el caso incluido, la evidencia relevante, los comentarios del investigador, favoritos,

imágenes recuperadas, criterios de búsqueda y tiempo en el que se realizaron las búsquedas.

Visualizador integrado de imágenes con galería: EnCase ofrece una vista completamente

integrada que localiza automáticamente, extrae y despliega muchos archivos de imágenes como

.gif y .jpg del disco. Seleccionando la "Vista de Galería" despliega muchos formatos de imágenes

conocidas, incluyendo imágenes eliminadas, en el caso de una vista pequeña. El examinador puede

después escoger las imágenes relevantes al caso e inmediatamente integrar todas las imágenes en

el reporte de EnCase. No es necesario ver los archivos gráficos usando software de terceros, a

menos que el formato de archivo no sea muy conocido y todavía no sea soportado por EnCase.

Futuro

La IF es un desafío interdisciplinario que requiere un estudio detallado de la tecnología, los

procesos y los individuos que permitan la conformación de un cuerpo de conocimiento formal,

científico y legal para el ejercicio de una disciplina que apoye directamente la administración de la

justicia y el esclarecimiento de los hechos alrededor de los incidentes o fraudes en las

organizaciones. En este sentido, se tienen agendas de investigación a corto y mediano plazo para

que se avancen en temas de especial interés en la conformación y fortalecimiento de las ciencias

forenses aplicadas a los medios informáticos (CANO, Introducción a la Informática Forense,

2006).

La informática Forense resalta beneficios al aplicarse su uso:

Disminución de pérdidas, tanto económicas como humanas.

La empresa gana en imagen y reputación.

Optimización de los recursos.

Continuidad de negocio.

Cumplimiento de la normatividad legal.

Efectividad en el cumplimiento de los objetivos estratégicos de la compañía.

Generación de cultura preventiva.

Ambiente de control.

En el mismo nivel se encuentran ventajas que permiten ampararse en evidencias incriminatorias;

las cuales serán el respaldo para la empresa. Con la aplicación de ésta en las computadoras, les

respalda para disminuir costos por reclamos amparados en situaciones no legales y descubiertas a

través de la IF. En la parte corporativa sustenta a la empresa por el robo de la información o

confidencial, o en una suplantación de marca.

DISCUSIÓN

“La Informática Forense presenta alternativas efectivas para la identificación de caos de la

manipulación de la información digital”, como se ha demostrado, la fundamentación teórica es

efectiva para la identificar la manipulación digital. Las herramientas narradas permiten dicho

análisis

Este artículo de revisión se desarrolló en base a un estudio literal detallado en el apartado anterior;

se consideró la calidad del documento en base a la aportación científica que se cita en este trabajo.

El objetivo de éste estudio fue realizar una revisión literaria sobre la informática forense, la cual

209

permitió conocer programas que permiten identificar los delitos informáticos, y cuáles son los que

más se usan según la naturaleza del delito. Detalla, hace análisis de dispositivos y proporciona

alternativas para ser evaluadas y ejecutadas a través de herramientas disponibles.

Los dispositivos siguen siendo el objetivo de ataques en vista que están expuestos a todo tipo de

delitos informáticos, actualmente se han incrementado robos, alteraciones y fraudes a raíz de la

pandemia del covid – 19, sin embargo, si los escudos de los firewalls o antivirus no se actualizan

con frecuencias o se aplican políticas de seguridad, los ataques serán progresivamente mas agudos.

Se presentó varias herramientas de IF, entre ellas por ejemplo, las Herramientas de recolección de

evidencias (López, 2001) Forensis kits que permite analizar evidencias de archivos y volúmenes

de datos, usada en windows y gratis para su posterior uso. Herramientas para el Monitoreo y/o

Control de Computadoras (López et al., 2001), que son gratis y permiten recuperar archivos que

han sido borrados con intenciones de perjudicar a una persona. Herramientas Endcase que es

utilizada para el análisis forense, que permite analizar cualquier dispositivo electrónico como disco

duro, memoria de celular, memoria USB, es decir todo aquello que pueda almacenar información

importante para detectar alguna anomalía y así encontrar una evidencia. A medida que avanzan

los años, crece la tecnología y estamos más expuestos a fraudes informáticos, sin embargo se

presentan alternativas de las cuales algunas son pagadas y otras gratuitas, que permiten

experimentarnos y obtener resultados calificados que pueden ser aplicados como medio de prueba

o en las empresas donde podemos desenvolvernos profesionalmente.

CONCLUSIONES

 La Informática Forense es importante porque se obtienen evidencias necesarias sobre un

fraude informático. Las mismas que resultan de gran relevancia para resolver casos de delitos

informáticos, constituyéndose una realidad indispensable y primordial.

 Los dispositivos a analizar y que fueron mencionados en esta investigación, son de gran

importancia porque sirven para guiar un hecho que acontecido y que debe ser investigado para su

posterior proceso.

 Se respalda el proceso del análisis forense a través de herramientas que son útiles para

inducirnos en este proceso; las mismas que sirven de guía sin dañar o alterar todo lo que será

analizado por medio de ellas.

 La Informática Forense incluso al final de una investigación es base que respalda el

planteamiento de recomendaciones, ya que permite establecer los principales controles y

seguridades que deben implementarse en la empresa u organización e incluso en el hogar.

BIBLIOGRAFÍA

(s.f.). Obtenido de http://www.informaticaforense.com.ar/informatica_forense.htm

Altamiranda, J., Aguilar, J., & Hernandez, L. (2015). Sistema de reconocimiento de patrones de sustancias químicas

cerebrales basado en minería de datos. Computación y Sistemas, 19(1), 89-107. doi:10.13053/CyS-19-1-1409

Alto Nivel. (23 de 11 de 2010). Recuperado el 08 de 11 de 2019, de https://www.altonivel.com.mx/tecnologia/7102-

que-es-la-informatica-forense/

Análisis documental del Cómputo Forense y su situación en México. (s.f.). ANTECEDENTES Y TERMINOLOGÍA

DEL CÓMPUTO FORENSE (CF) O INFORMÁTICA FORENSE (IF).

AREITO.G. (2013).

Argudín. (2005). Educación basada en competencias: nociones y antecedentes. México Trillas.

Arias, F. G. (2012). El Proyecto de Investigación. Introducción a la metodología Científica. Caracas: EPISTEME S.A.

Ariza, A., J. Cano, J. Ruíz. (2009). iPhone 3G: Un nuevo reto para la informática forense.

Baeza-Yates, R. (209). Tendencias en minería de datos de la Web. (U. P. Valencia, Ed.) El profesional de la

información, 18(1), 5-10. doi:10.3145/epi.2009.ene.01

Benjumea, M. (2010). La motricidad como dimensión humana -un abordaje transdiciplinar-. Barcelona: Instituto

Internacional del Saber.

Bishop, J. V. (2013). The Flipped Clasroom: A Survey of a Research. Paper presented at the ASEE Anual Conference

& Exposition.

CANO. (2006). Introducción a la Informática Forense. Revista ACIS.

211

CANO. (2009). Estado del arte del peritaje Informático.

Cano, D. J. (2006). Introducción a la Informática Forense. Revista ACIS.

Carmena, G., Cerdán, J., Ferrandis, A., & Vera, J. (1998). Niveles de desarrollo de la población infantil al acceder al

ciclo inicial. Madrid: Ministerio de Educación y Ciencia.

Carrasco Ochoa, J. A., & Martínez Trinidad, J. F. (2011). Reconocimeinto de patrones. Komputer Sapiens, II, 5-32.

Obtenido de

http://smia.mx/komputersapiens/index.php?option=com_content&view=article&id=72&Itemid=84

Constituyente, A. (20 de Octubre de 2008). Constitución del Ecuador. Registro Oficial.

Correa Delgado, R. (26 de Julio de 2012). Reglamento General a la Ley Organica de Educación Intercultural. Quito:

Registro Oficial.

Darahugue y Arellano. (2016). Manual de Informática Forense III. Buenos Aires: ERREPAR S.A.

De la Pineda, J. A. (2012). Educación, Axiología y Utopía. Oviedo: Universidad de Oviedo.

Descamps Vila, L., Casas, J., Conesa, J., & Pérez Navarro, A. (2012). Problemas en la implementación de algoritmos.

VI Jornadas de SIG Libre 2012. Girona.

Duran, E., & Costaguta, R. (2007). Mineria de datos para descubrir estilos de aprendizaje. Revista Iberoamericana de

Educación(42), 1-10. Obtenido de https://rieoei.org/historico/deloslectores/1674Duran.pdf

Febles Rodríguez, J. P., & González Pérez, A. (2002). Aplicación de la minería de datos en la bioinformática. ACIMED,

10(2), 69-76. Obtenido de http://scielo.sld.cu/scielo.php?script=sci_arttext&pid=S1024-

94352002000200003&lng=es&nrm=iso

Frankl, V. (1991). El hombre en busca de sentido. Barcelona: Herder.

Giacomonte, J., Abásolo, M. J., Bria, O., Cristina, F., Dapoto, S., Artola, V., . . . Naiouf, M. (2012). sistema de visión

automática y reconocimeinto de patrones interfaces avanzadass, realidad viertual y aumentada. En R. d.

(RedUNCI) (Ed.). (págs. 373-377). La Plata - Argentina: XIV Workshop de Investigadores en Ciencias de la

Computación. Obtenido de http://sedici.unlp.edu.ar/handle/10915/18859

Helena Rifà Pous, Jordi Serra Ruiz, José Luis Rivas López . (2009). Análisis forense de sistemas informáticos.

Barcelona.

Hidalgo Cajo, I. (2014). Análisis Preliminar y diseño de una Herramienta de toma de decisiones como soporte para

las tareas de Análisis Informático Forense. Tarragona.

Información de Tecnología. (17 de 09 de 2012). Obtenido de http://www.nist.gov/itl/

Isabel, S. M. (s.f.). Informática Forense. Bolivia.

Johnson, D., & Johnson, R. (1999). El aprendizaje cooperativo en el aula. New York: Johnson Holubec.

Klenzi, R. O., Malberti, M. A., & Beguerí, G. E. (2018). Visualización en un entorno de minería de datos desde una

perspectiva interacción humeno computador. Computación y Sistemas, 22(1), 279-290. doi:10.13053/CyS-

22-1-2558

Koettgen L, S. S. (2014). Flipped classroom on top –excellent teaching through a method-mix. 8th International

Technology,Education & Development Conference. Valencia, Spain.

López, O. H. (2001). Informática Forense: Generalidades, aspectos técnicos y Herramientas. Colombia, Colombia.

Marcano Aular, Y. J., & Rosalba, T. P. (2007). Minería de datos como soporte a la toma de decisiones empresariales.

Opción, 23(52), 104-118. Obtenido de http://www.redalyc.org/articulo.oa?id=31005208

Martínez Luna, G. L. (2011). Minerí de datos: Como hallar una aguja en un pajar. Ingenierías, XIV(53), 55-63.

Obtenido de http://www.ingenierias.uanl.mx/53/53_Mineria.pdf

Moine, J. M., Haedo, A. S., & Gordillo, S. E. (2011). Estudio comparativo de metodologías para minería de datos. XIII

Workshop de Investigadores en Ciencias de la Computación (págs. 278-281). La Plata: Red de Universidades

con Carreras en Informática (RedUNCI). Obtenido de http://creativecommons.org/licenses/by-nc-sa/2.5/ar/

MORENO, O. (2017). TicALS - Educación y Tecnología a un solo Click. Clase invertida como estrategia didáctica

para la enseñanza de la multiplicación en grado tercero, 7.

Nuevo, M. (2013). guiainfantil.com. Obtenido de Desarrollo de la psicomotricidad fina:

https://www.guiainfantil.com/1600/desarrollo-de-la-psicomotricidad-fina.html

OnRetrieval. (16 de 05 de 2018). OnRetrieval, especialistas en Recuperación de Datos, Informática Forense y

Ciberseguridad. Obtenido de https://onretrieval.com/objetivos-de-la-informatica-forense/

Perito Judiciales. (s.f.). Obtenido de https://peritos.online/peritos-judiciales/perito-judicial-quien-es-a-que-se-dedica-

y-para-que-sirve.html

Rivas, C. G. (2014). Metodología para un Análisis Forense. Cataluña - España.

RODRÍGUEZ, F. (s.f.). La informática forense: el rastro digital del crimen.

Sampieri, D. R. (2014). Metodología de la Investigación. México.

Sánchez Cordero, P. (2014). Análisis Forense Informático, Adquisición, Clonación. España.

Schneider, E. F. (2013). Sala de Aula Invertida em EAD: uma proposta de Blended Learning. Obtenido de Revista

Intersaberes 8(16): www.grupouninter.com.br/intersaberes/index.php/revista/issue/view/77

Stanivukovic, D., & Randjelovic, D. (2016). Application of multiple criteria decision making in the selection of digital

forensics software. Military Technical Courier.

Xombra. (04 de 09 de 2012). Cómputo Forense o Informática Forense.